Собсно — сабж — лог.

This topic has 3 ответа, 2 участника, and was last updated 16 years, 1 month назад by Admin.

Просмотр 4 сообщений - с 1 по 4 (из 4 всего)

Автор

Сообщения
23 августа, 2009 в 10:31 пп #17029
muletail
Participant
- Темы:1
- Сообщений:2
ComboFix 09-08-22.06 — Lazari 24.08.2009 1:55.1.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.150 [GMT 4:00]
Running from: c:documents and settingsLazariРабочий столComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! // ну лень было…
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsLazarix.exe
c:windowsInstallerbf3833e.msi
c:windowsIris The Network Traffic Analyzer .DAT
c:windowsLogWatNT.exe
c:windowssystem32acovcnt.exe
c:windowssystem32AutoRun.inf

.
((((((((((((((((((((((((( Files Created from 2009-07-23 to 2009-08-23 )))))))))))))))))))))))))))))))
.

2009-08-23 09:16 . 2009-06-19 09:03 2797468 —-a-w- c:documents and settingsLazariApplication DataMozillaFirefoxProfiles8vla6gjg.defaultextensions{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}componentsnstidy.dll
2009-08-17 19:46 . 2009-08-17 19:46 50248 —-a-w- c:documents and settingsLolLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-08-17 19:46 . 2009-08-17 19:46

d

w- c:documents and settingsLolLocal SettingsApplication DataATI
2009-08-17 19:46 . 2009-08-17 19:46

d

w- c:documents and settingsLolApplication DataATI
2009-08-17 19:42 . 2009-08-17 19:42

d

w- c:documents and settingsLazari2DoctorWeb

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-23 21:21 . 2008-04-07 23:12

d

w- c:programsfoobar2000
2009-08-23 19:58 . 2008-04-07 22:53

d

w- c:programsMozilla Thunderbird
2009-08-05 22:05 . 2008-06-01 15:08

d

w- c:documents and settingsAll UsersApplication DataMicrosoft Help
2009-07-29 01:57 . 2008-12-21 18:21

d

w- c:programsnLite
2009-07-26 21:45 . 2008-06-02 10:22

d

w- c:programsJava
2009-07-26 21:43 . 2009-05-17 19:33

d

w- c:documents and settingsAll UsersApplication DataIBM
2009-07-26 21:43 . 2008-04-07 20:11 50248 —-a-w- c:documents and settingsLazariLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-07-26 21:32 . 2008-04-07 19:57

d—h—w- c:programsInstallShield Installation Information
2009-07-26 21:31 . 2009-05-19 17:02

d

w- c:programsEffexis Software
2009-07-26 21:26 . 2008-05-11 15:10

d

w- c:programsCA
2009-07-26 21:21 . 2008-08-03 08:36

d

w- c:programsCommonWise Installation Wizard
2009-07-25 19:56 . 2008-04-08 09:29

d

w- c:programsMplayer
2009-07-11 21:50 . 2008-04-08 12:52 21361 —-a-w- c:windowssystem32driversAegisP.sys
2009-07-11 21:50 . 2008-04-08 12:52 21361 —-a-w- c:windowsAegisP.sys
2009-07-11 21:50 . 2008-04-08 12:52 376832 —-a-w- c:windowssystem32AegisI5Installer.exe
2009-07-08 19:54 . 2004-08-18 12:00 550220 —-a-w- c:windowssystem32perfh019.dat
2009-07-08 19:54 . 2004-08-18 12:00 108884 —-a-w- c:windowssystem32perfc019.dat
2009-06-25 10:31 . 2008-04-24 18:05

d

w- c:documents and settingsLazariApplication DataSkype
.

Sigcheck

[7] 2007-10-30 16:53 360832 64798ECFA43D78C7178375FCDD16D8C8 c:windows$hf_mig$KB941644SP2QFEtcpip.sys
[7] 2004-08-18 12:00 359040 9F4B36614A0FC234525BA224957DE55C c:windows$NtUninstallKB941644$tcpip.sys
[-] 2008-06-17 20:26 360064 8283A4D489B207991EFDC8328733D0BC c:windowssystem32dllcachetcpip.sys
[-] 2008-06-17 20:26 360064 8283A4D489B207991EFDC8328733D0BC c:windowssystem32driverstcpip.sys

[-] 2008-04-07 16:02 503808 8F78FD27736C2C3B20E39912014E59CB c:windowssystem32winlogon.exe

[-] 2008-04-07 16:02 1548288 14805E1B47E6AC2CB9306B0312391107 c:windowssystem32sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Punto Switcher»=»c:programsPunto Switcherpunto.exe» [2008-10-16 735016]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ATKHOTKEY»=»c:programsATK HotkeyHcontrol.exe» [2007-07-12 225280]
«Power_Gear»=»c:programsASUSPower4 GearBatteryLife.exe» [2006-07-26 90112]
«SynTPEnh»=»c:programsSynapticsSynTPSynTPEnh.exe» [2006-10-12 815104]
«StartCCC»=»c:programsATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2008-01-21 61440]
«ACMON»=»c:programsASUSSplendidACMON.exe» [2007-01-17 819200]
«IntelZeroConfig»=»c:programsIntelWirelessbinZCfgSvc.exe» [2007-10-08 995328]
«IntelWireless»=»c:programsIntelWirelessBinifrmewrk.exe» [2007-10-08 1101824]
«RTHDCPL»=»RTHDCPL.EXE» — c:windowsRTHDCPL.exe [2007-07-05 16380416]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«nlsf»=»move» [X]
«tscuninstall»=»c:windowssystem32tscupgrd.exe» [2004-08-18 44544]

c:documents and settingsLazariѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AsusNbKeys.lnk — c:windowssystem32AsusNbKeys.exe [2008-4-9 49152]

c:documents and settingsLazariѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є AutorunsDisabled
K-Meleon Loader.lnk — c:programsK-Meleonloader.exe [2007-4-15 32768]

c:documents and settingsLazariѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AsusNbKeys.lnk — c:windowssystem32AsusNbKeys.exe [2008-4-9 49152]

c:documents and settingsLazariѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є AutorunsDisabled
K-Meleon Loader.lnk — c:programsK-Meleonloader.exe [2007-4-15 32768]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«ForceClassicControlPanel»= 1 (0x1)

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoResolveTrack»= 1 (0x1)
«EditLevel»= 0 (0x0)
«NoCommonGroups»= 0 (0x0)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoResolveTrack»= 1 (0x1)

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Bluetooth Manager.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаBluetooth Manager.lnk
backup=c:windowspssBluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigservices]
«gusvc»=3 (0x3)
«ose»=3 (0x3)
«Bonjour Service»=2 (0x2)
«VSS»=3 (0x3)
«TOSHIBA Bluetooth Service»=2 (0x2)
«SCardSvr»=3 (0x3)
«S24EventMonitor»=2 (0x2)
«RegSrvc»=2 (0x2)
«RDSessMgr»=3 (0x3)
«NMIndexingService»=3 (0x3)
«nkservice»=3 (0x3)
«mnmsrvc»=3 (0x3)
«ImapiService»=3 (0x3)
«idsvc»=3 (0x3)
«FLEXnet Licensing Service»=3 (0x3)
«Adobe LM Service»=3 (0x3)
«NtmsSvc»=3 (0x3)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=

R2 ANTS Memory Profiler 4 Service;ANTS Memory Profiler 4 Service;c:programsRed GateANTS Profiler 4MemoryRedGate.Profiler.IISProfileHost.exe [25.05.2009 23:02 20480]
R2 ANTS Performance Profiler 4 Service;ANTS Performance Profiler 4 Service;c:programsRed GateANTS Profiler 4RedGate.Profiler.IISService.exe [25.05.2009 23:02 9216]
R3 IrCOMM2k;Virtual IR COM Port;c:windowssystem32driversircomm2k.sys [29.08.2008 11:08 16026]
S1 nod32drv;nod32drv;c:windowssystem32driversnod32drv.sys —> c:windowssystem32driversnod32drv.sys [?]
S3 Diag69xp;Diag69xp;c:windowssystem32DriversDiag69xp.sys —> c:windowssystem32DriversDiag69xp.sys [?]
S3 IRIS5;IRIS5 Protocol Driver;c:windowssystem32iris5.sys [05.11.2008 1:45 16191]
S3 ultradfg;ultradfg;c:windowssystem32driversultradfg.sys [15.03.2009 14:46 32256]
S4 IrCOMM2kSvc;Virtual IR COM Port, Service Program;c:windowssystem32ircomm2k.exe [29.08.2008 11:08 49152]
S4 LogWatch;Event Log Watch;c:windowsLogWatNT.exe —> c:windowsLogWatNT.exe [?]
S4 MSSQLServerADHelper100;Служба поддержки Active Directory сервера SQL Server;c:programsMicrosoft SQL Server100Sharedsqladhlp.exe [11.07.2008 4:30 47128]
S4 RsFx0102;RsFx0102 Driver;c:windowssystem32driversRsFx0102.sys [10.07.2008 2:49 242712]
S4 SQLAgent$SQLEXPRESS;Агент SQL Server (SQLEXPRESS);c:programsMicrosoft SQL ServerMSSQL10.SQLEXPRESSMSSQLBinnSQLAGENT.EXE [11.07.2008 4:30 369688]

— Other Services/Drivers In Memory —

*Deregistered* — DwShield0000471D

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost — NetSvcs
zcufmmzc
.
Contents of the ‘Scheduled Tasks’ folder

2009-08-23 c:windowsTasksfoobar2000.job
— c:programsFOOBAR~1foobar2000.exe [2009-02-25 17:28]
.
.

Supplementary Scan

.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Экспорт в Microsoft Excel — c:programsMI69DF~1Office12EXCEL.EXE/3000
IE: Download all with Free Download Manager — file://c:programsFree Download Managerdlall.htm
IE: Download selected with Free Download Manager — file://c:programsFree Download Managerdlselected.htm
IE: Download video with Free Download Manager — file://c:programsFree Download Managerdlfvideo.htm
IE: Download with &Shareaza — c:programsShareazaPluginsRazaWebHook.dll/3000
IE: Download with Free Download Manager — file://c:programsFree Download Managerdllink.htm
DPF: Microsoft XML Parser for Java — file://c:windowsJavaclassesxmldso.cab
FF — ProfilePath — c:documents and settingsLazariApplication DataMozillaFirefoxProfiles8vla6gjg.default
FF — prefs.js: browser.search.selectedEngine — РЇРЅРґРµРєСЃ
FF — prefs.js: browser.startup.homepage — hxxp://www.google.ru/
FF — plugin: c:documents and settingsLazariLocal SettingsApplication DataGoogleUpdate1.2.141.5npGoogleOneClick7.dll
FF — plugin: c:programsMozilla FirefoxpluginsnpPandoWebInst.dll
FF — plugin: c:programsOperaprogrampluginsnpfdm.dll
.
.

File Associations

.
txtfile=»c:programsPSPad editorPSPad.exe» «%1»
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-24 02:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(992)
c:windowssystem32Ati2evxx.dll
.
Completion time: 2009-08-23 2:05
ComboFix-quarantined-files.txt 2009-08-23 22:05

Pre-Run: 312 946 688 байт свободно
Post-Run: 801 996 800 байт свободно

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
177 — E O F — 2008-05-12 08:02
27 августа, 2009 в 5:10 пп #25419
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

Пожалуйста подскажите какая была проблема и она решена после запуска Combofix ?
27 августа, 2009 в 8:19 пп #25420
muletail
Participant
- Темы:1
- Сообщений:2
Здравствуйте. 🙂
Проблема была тривиальная — «флэшечный вирус» — autorun + hidden files disable.
Когда-то руками чинил — в реестре и файлы чистил. Было лень. Программа впечатлила тем, что столь длительное время работала и система это пережила, а главное избавилась от всех последствий.
Лог добавил по совету с manual — где пишется, что программа решает не все проблемы, но по логу можно догадаться о некоторых их них.
30 августа, 2009 в 3:01 пп #25421
Admin
Keymaster
- Темы:40
- Сообщений:5676
Советую использовать Flash_Disinfector для защиты и лечения ваших флешек.
Не забудьте удалить Combofix, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Всего доброго.
Автор

Сообщения

Просмотр 4 сообщений - с 1 по 4 (из 4 всего)

Для ответа в этой теме необходимо авторизоваться.

Собсно — сабж — лог.

Добро пожаловать

Поиск

Последние темы

СПАЙВАРЕ РУ

Нужна помощь?

Ссылки